Apple ha publicado una actualización de seguridad para corregir tres
vulnerabilidades identificadas en el sistema operativo Mac OS X. Un
atacante remoto podrá explotar los fallos para ejecutar comandos
arbitrarios o evitar restricciones de seguridad.
El primero de los problemas se debe a un error al cargar documentos
que contienen código Javascript especialmente creado. Esto puede
explotarse desde sitios web maliciosos para evitar las restricciones
de las políticas de seguridad y acceder a datos arbitrarios.
El segundo de los fallos radica en un desbordamiento de búfer en
Mail cuando se tratan adjuntos especialmente creados. Un atacante
remoto podrá explotar esta vulnerabilidad para ejecutar comandos
arbitrarios si convence al usuario para que efectúe double-click
en el adjunto malicioso.
El último de los problemas resueltos se debe a errores en la
validación de tipos de archivos en Safari y LaunchServices, lo que
podrá explotarse para ejecutar comandos arbitrarios, a través de
scripts shell maliciosos camuflados como un tipo de archivo seguro.
Se ven afectados las versiones Mac OS X 10.4.5 y anteriores y Mac OS X
Server 10.4.5 y anteriores. Las actualizaciones publicadas pueden
descargarse desde las siguietnes direcciones:
Security Update 2006-002 for Mac OS X 10.4.5 (PPC) :
http://www.apple.com/support/downloads/securityupdate2006002v11macosx1045ppc.html
Security Update 2006-002 for Mac OS X 10.4.5 Client (Intel) :
http://www.apple.com/support/downloads/securityupdate2006002v11macosx1045clientintel.html
Security Update 2006-002 for Mac OS X 10.3.9 Client :
http://www.apple.com/support/downloads/securityupdate20060021039client.html
Security Update 2006-002 for Mac OS X 10.3.9 Server :
http://www.apple.com/support/downloads/securityupdate20060021039server.html
antonior@hispasec.com
Más información:
About Security Update 2006-002
http://docs.info.apple.com/article.html?artnum=303453
